Bei Fragen oder technischen Problemen wenden Sie sich gerne jederzeit an:
Simon Rath
Wissenschaftlicher Mitarbeiter / Projektmanager
BF/M-Bayreuth Mainstraße 5 95444 Bayreuth Tel: 0921 530397-32 Mail: simon.rath@bfm-bayreuth.de
Teil A: Einleitung
Informationssicherheit stellt komplexe Anforderungen an das Wissen und die Fähigkeiten, die ein Arbeitnehmer in der Unternehmenspraxis benötigt. Vor dem Hintergrund einer zunehmenden Digitalisierung von Business Modellen und Geschäftsprozessen ergeben sich stetig neue Möglichkeiten, Sicherheitslücken auszunutzen und dem Unternehmen Schaden zuzufügen. Schadenszenarien beinhalten häufig den Abfluss von vertraulichen und sensiblen Daten aus dem Unternehmen, Geldforderungen durch die Angreifer sowie tiefgreifende Störungen im Betriebsablauf, welche potenziell die Existenz eines Betriebes in Gefahr bringen können.
Dennoch sind viele Firmen schlecht auf solche Szenarien vorbereitet. Neben der fehlenden Awareness auf Ebene der Unternehmensleitung stellt vor allem der Mangel an Fachkräften auf dem Arbeitsmarkt ein großes Hindernis für Unternehmen dar, um sich effektiv gegen Risiken schützen zu können. Von dieser Knappheit sind insbesondere kleine und mittelständische Unternehmen (KMU) betroffen, die häufig nicht in der Lage sind, finanziell mit großen Unternehmen im „Fight for Talents“ mitzuhalten.
Vor diesem Hintergrund ersucht die vorliegende Erhebung die Erarbeitung eines Anforderungsprofils für Arbeitnehmer für Informationssicherheit, welches den Bedürfnissen und Möglichkeiten von KMU gerecht werden soll. Anhand der Ergebnisse lassen sich Handlungsempfehlungen für Unternehmen und für Bildungsträger ableiten, wie der Fachkräftemangel in diesem Sektor am effektivsten bekämpft werden kann.
Teil B: Allgemeine Angaben
In diesem Abschnitt möchten wir mehr über Ihr Unternehmen und die Beziehung ihres Unternehmens zum Thema Informationssicherheit erfahren.
B1. In welchem Wirtschaftszweig ist Ihr Unternehmen tätig?
Bitte beziehen Sie sich auf die Einstufung Ihrer Organisation nach der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE). Den vollständigen Katalog finden Sie hier:
https://ec.europa.eu/eurostat/ramon/nomenclatures/index.cfm?TargetUrl=LST_NOM_DTL&StrNom=NACE_REV2&StrLanguageCode=DE&IntPcKey=&StrLayoutCode=HIERARCHIC&IntCurrentPage=1
Land- und Forstwirtschaft, Fischerei Bergbau und Gewinnung von Steinen und Erden Verarbeitendes Gewerbe/Herstellung von Waren Energieversorgung Wasserversorgung Baugewerbe/Bau Handel Verkehr und Lagerei Gastgewerbe/Beherbergung und Gastronomie Information und Kommunikation Erbringung von Finanz- und Versicherungsdienstleistungen Grundstücks- und Wohnungswesen Erbringung von freiberuflichen, wissenschaftlichen und technischen Dienstleistungen Erbringung von sonstigen wirtschaftlichen Dienstleistungen Öffentliche Verwaltung, Verteidigung; Sozialversicherung Erziehung und Unterricht Gesundheits- und Sozialwesen Kunst, Unterhaltung und Erholung Erbringung von sonstigen Dienstleistungen Private Haushalte mit Hauspersonal Exterritoriale Organisationen und Körperschaften
B2. Meine Organisation fällt in folgende Kategorie.
Kleinstunternehmen (bis 9 Mitarbeiter und weniger als 2 Mio. Euro Jahresumsatz) kleines Unternehmen (10 bis 49 Mitarbeiter und weniger als 10 Mio. Euro Jahresumsatz) mittelgroßes Unternehmen (bis 249 Mitarbeiter und weniger als 50. Mio. Euro Jahresumsatz) Großunternehmen (mehr als 250 Mitarbeiter und mehr als 50 Mio. Euro Jahresumsatz) Regierungsorganisation Nichtregierungsorganisation (NRO) Forschungseinrichtung Sonstiges
Sonstiges
B3. Unterliegt Ihr Unternehmen den Maßgaben einer kritischen Infrastruktur?
Mehr Informationen zu kritischen Infrastrukturen finden Sie unter: https://www.kritis.bund.de/SubSites/Kritis/DE/Einfuehrung/einfuehrung_node.html.
Ja Nein Weiß ich nicht.
B4. Was ist Ihre Rolle im Unternehmen?
Geschäftsführung / Personalabteilung IT-Abteilung / Informationssicherheitsabteilung
Teil C: Unternehmenskultur
C1. Bitte geben Sie an, inwiefern die folgenden Eigenschaften das Unternehmen, in dem Sie arbeiten, bzw. die Organisation, für die Sie arbeiten, beschreiben.
Stimme überhaupt
nicht zu
Stimme nicht zu
Stimme teils zu und teils
nicht zu
Stimme zu
Stimme voll und ganz zu
Das Unternehmen hat eine hohe Leistungsorientierung.
Das Unternehmen hat eine hohe Kundenorientierung.
Das Unternehmen hat eine hohe Qualitätsorientierung.
Das Unternehmen ist offen gegenüber Neuerungen.
Das Unternehmen ist stark hierarchisch organisiert.
Das Unternehmen hat einen bürokratischen Führungsstil.
Bei Fehlern und Problemen im Unternehmen wird als erstes nach Schuldigen gesucht.
Mitarbeiterinformation hat einen hohen Stellenwert.
Die Führungskräfte setzen großes Vertrauen in die Mitarbeiter.
Die Mitarbeiter werden an Entscheidungen beteiligt.
Der Führungsstil im Unternehmen ist autoritär.
Konflikte werden in der Firma offen angesprochen.
Das Unternehmen zeichnet sich durch Teamorientierung aus.
Stimme überhaupt
nicht zu
Stimme nicht zu
Stimme teils zu und teils
nicht zu
Stimme zu
Stimme voll und ganz zu
Das Verhältnis zwischen Mitarbeitern ist geprägt durch Konkurrenz.
Die Mitarbeiter setzen großes Vertrauen in die Führungskräfte.
C2. In welchem Land ist Ihr Unternehmen hauptsächlich tätig?
Austria Belgium Bulgaria Croatia Cyprus Czech Republic Denmark Estonia Finland France Germany Greece Hungary Ireland Italy
Latvia Lithuania Luxembourg Malta Netherlands Poland Portugal Romania Slovakia Slovenia Spain Sweden
Teil D: Kompetenzen im Unternehmen
Die folgenden zwei Frageblöcken gehen näher darauf ein, welche Aufgaben und Aktivitäten im Rahmen einer Informationssicherheitsstrategie in Ihrem Unternehmen im Fokus stehen. Die Felder wurden im Rahmen einer vorherhigen Erhebung gebildet.
D1. Bitte beurteilen Sie die folgenden Aktivitäten für Ihr Unternehmen hinsichtlich ihrer Häufigkeit und Wichtigkeit:Häufigkeit
1 - nie 2 3 4
5 - sehr häufig
Analyse von Geschäftsprozessen und Erstellung von strategischen Berichten zum Thema Datenschutz und Informationssicherheit.
1 - nie 2 3 4
5 - sehr häufig
Verfolgen Sie Änderungen innerhalb und außerhalb des Unternehmens, die sich auf die Sicherheitsstrategie des Unternehmens auswirken, und erstellen Sie Berichte.
Verfassen von Firmenrichtlinien zum systematischen Umgang mit bestimmten Informationen und Daten.
Erarbeitung von Empfehlungen für zu beschaffende Geräte unter Berücksichtigung der Informationssicherheits- und Datenschutzanforderungen des Unternehmens.
Durchführung von (Informations-)Aktivitäten zur Sensibilisierung der Mitarbeiter für Sicherheitsrisiken in ihrem Arbeitsalltag und zur Verbreitung des Sicherheitsbewusstseins in der Belegschaft.
Erstellung von Schulungsplänen für das Unternehmen, um Mitarbeiter regelmäßig in Bezug auf Informationssicherheit und Datenschutz zu schulen.
Installation von Firewall und Anti-Virus-Software. Durchführung von Updates und Anwendung elementarer Methoden, um die Sicherheit der im Unternehmen eingesetzten Software zu prüfen und eine entsprechende Dokumentation zu erstellen.
Absicherung von mobilen Geräten, Kommunikationskanälen und Datenspeichern durch Passwörter oder andere Möglichkeiten der Authentifizierung.
Durchführung von routinemäßigen Datensicherungen und Anwendung von Methoden des ordnungsgemäßen Verhaltens gemäß DSGVO bei der Datenverarbeitung in der Firma.
Einrichten von Administratorkonten und Einschränkung der Zugriffsrechte unter den Mitarbeitern entsprechend der festgelegten Sicherheitsstufen.
Einrichten von Passwörtern für individuelle Mitarbeiterzugänge sowie eines sicheren Speicher- und Wiederherstellungsprozesses.
Erstellen von Richtlinien und Prozessen für den Eintritt von eventuellen Sicherhitsvorfällen.
Koordination der Bedürfnisse von Führungskräften und Mitarbeitern des Unternehmens und Versorgung beider Parteien mit Informationen und Erkenntnissen aus dem Unternehmen.
D2. Bitte beurteilen Sie die folgenden Aktivitäten für Ihr Unternehmen hinsichtlich ihrer Häufigkeit und Wichtigkeit:Wichtigkeit
1 - überhaupt
nicht 2 3 4
5 - sehr wichtig
Analyse von Geschäftsprozessen und Erstellung von strategischen Berichten zum Thema Datenschutz und Informationssicherheit.
Verfolgen Sie Änderungen innerhalb und außerhalb des Unternehmens, die sich auf die Sicherheitsstrategie des Unternehmens auswirken, und erstellen Sie Berichte.
1 - überhaupt
nicht 2 3 4
5 - sehr wichtig
Verfassen von Firmenrichtlinien zum systematischen Umgang mit bestimmten Informationen und Daten.
Erarbeitung von Empfehlungen für zu beschaffende Geräte unter Berücksichtigung der Informationssicherheits- und Datenschutzanforderungen des Unternehmens.
Durchführung von (Informations-)Aktivitäten zur Sensibilisierung der Mitarbeiter für Sicherheitsrisiken in ihrem Arbeitsalltag und zur Verbreitung des Sicherheitsbewusstseins in der Belegschaft.
Erstellung von Schulungsplänen für das Unternehmen, um Mitarbeiter regelmäßig in Bezug auf Informationssicherheit und Datenschutz zu schulen.
Installation von Firewall und Anti-Virus-Software. Durchführung von Updates und Anwendung elementarer Methoden, um die Sicherheit der im Unternehmen eingesetzten Software zu prüfen und eine entsprechende Dokumentation zu erstellen.
Absicherung von mobilen Geräten, Kommunikationskanälen und Datenspeichern durch Passwörter oder andere Möglichkeiten der Authentifizierung.
Durchführung von routinemäßigen Datensicherungen und Anwendung von Methoden des ordnungsgemäßen Verhaltens gemäß DSGVO bei der Datenverarbeitung in der Firma.
Einrichten von Administratorkonten und Einschränkung der Zugriffsrechte unter den Mitarbeitern entsprechend der festgelegten Sicherheitsstufen.
Einrichten von Passwörtern für individuelle Mitarbeiterzugänge sowie eines sicheren Speicher- und Wiederherstellungsprozesses.
Erstellen von Richtlinien und Prozessen für den Eintritt von eventuellen Sicherhitsvorfällen.
Koordination der Bedürfnisse von Führungskräften und Mitarbeitern des Unternehmens und Versorgung beider Parteien mit Informationen und Erkenntnissen aus dem Unternehmen.
Teil E: Informationssicherheit im Unternehmen
E1. Welche Gründe haben Ihr Unternehmen bisher daran gehindert, in die Verbesserung der Informationssicherheit zu investieren?
Trifft nicht zu. Unser Unternehmen kann seinen Bedarf decken.
Kein wahrgenommener Bedarf
Keine Priorität, andere Themen waren bisher wichtiger Kein verfügbares Personal Mangelnde Angebote von Dienstleistern Mangelnde Angebote von Dienstleistern Nicht genügend finanzielle Ressourcen
E2. Welche Möglichkeiten zur Erhöhung der Informationssicherheit kämen für Ihr Unternehmen realistischerweise in Betracht, bzw. welche werden derzeit genutzt?
Einkauf als Dienstleistung von Drittanbietern Weiterqualifizierung eigener Mitarbeiter Schaffung und Besetzung einer neuen Position im Unternehmen Absicherung der Risiken durch Versicherungen Andere
E3. Aufbauend auf Ihrer Erfahrung: Welche Art der Aus- oder Weiterbildung ist notwendig/hilfreich/optional für einen Angestellten, der mit der Sicherstellung der Informationssicherheit in Ihrem Unternehmen betraut ist?
notwendig (must-have)
hilfreich (nice to
have) optional keine Einschätzu
ng
Selbstlernen (digitale Lernplattformen (MOOC) z.B. Coursera, Udemy, EdX) Betriebsinterne Umschulung oder Weiterbildung Erfahrung "on-the-job"
Zertifikatslehrgänge 3-Jährige Berufsausbildung Universitärer Bachelorabschluss
notwendig (must-have)
hilfreich (nice to
have) optional keine Einschätzu
ng
Universitärer Masterabschluss Promotion
Teil F: Eingesetzte Technologien
Bitte kreuzen Sie an, welche der folgenden Technologien in Ihrem Unternehmen zum Einsatz kommen.
F1. In welchem Unfang nutzt ihr Unternehmen folgende Technologien?
nie gelegentlich
wöchentlic
h täglich
Remote Geräte (Smartphones, Tablets) Laptop E-mail World Wide Web (z. B. Browser, Webanwendungen) Text, Tabellenkalkulations- und Präsentationssoftware Dokumenten- und Wissensmanagement-Systeme (z. B. Intranets, Blogs, Wikis) Echtzeit-Kommunikationssysteme (z. B. Webkonferenzen, Chat) Systeme für soziale Interaktion und Zusammenarbeit (z. B. soziale Netzwerke) Content-Management-Systeme (z. B. Software zur Erstellung von Websites) Systeme für Sicherheit durch Benutzerinteraktion (z. B. Authentifizierung durch Passworteingabe) Sicherheitssysteme im Hintergrund (z. B. Firewalls, Kryptographie, VPN)
nie gelegentlich
wöchentlic
h täglich
Drahtlose Verbindungen (z. B. Mobilfunknetze, WLAN, Funkgeräte) Netzwerkhardware (z. B. Netzwerksysteme, Feldbussysteme) Datenbanken; Data Warehouse (z. B. Datenspeicherung und -verwaltung) Kreativ- und Gestaltungssoftware (z. B. Bild-, Film-, Tonbearbeitung) Statistik- und Analysesoftware (z. B. Data Mining) Software für die Produkt- und Softwareentwicklung (z. B. CAD/CAM-Systeme) Medizinische Software (z. B. Steuerungssysteme für diagnostische/therapeutische Geräte) Modellierungs- und Simulationssoftware (z. B. mathematische Modellierung, Physiksimulation) Digitale Zahlungsstromsysteme (z. B. digitales Bargeld, Online-Transaktionen) Kassensysteme (z. B. Kartenleser, elektronische Kassensysteme) E-Commerce-Systeme (z. B. Webshop-Software, Online-Auktionen) Organisationsmanagement-Software (z. B. Finanzcontrolling, ERP-Systeme) Management-Informations-Software (z. B. Projektmanagement-Software, Prozessmodellierungs-Software)
Teil G: Informationssicherheit im Unternehmen II (Personalbedarf)
G1. Gibt es in Ihrem Unternehmen Angestellte, die formell für die Informationssicherheit verantwortlich sind?
Ja Nein
G2. Wenn ja, wieviele?
1 2-5 6-10
>10
G3. Wieviele offene Positionen im Bereich Informationssicherheit gibt es in Ihrem Unternehmen?
keine 1 2-5 6-10 >10 unbekannt
aktuell in einem Jahr in 5 Jahren
G4. Wie gehen Sie bisher vor, um den Personalbedarf im Bereich Informationssicherheit zu decken?
Einstellung neuer Mitarbeiter Weiterbildung vorhandener Mitarbeiter Einkauf der Dienstleistung "Informationssicherheit" von Drittanbietern keine Maßnahmen
G5. Mein Unternehmen...
ist für Informationssicherheit zertifiziert.
strebt eine Zertifizierung an.
ist nicht zertifiziert und strebt auch keine Zertifizierung an.
G6. Sind Ihnen Informationssicherheitsvorfälle innerhalb der letzten 2 Jahre bekannt, bzw. besteht die Vermutung eines Sicherheitsvorfalls?
Definition: Ein Sicherheitsvorfall beinhaltet alle Abweichungen vom Regelbetrieb im Unternehmen, in denen Schutzmaßnahmen umgangen und Informationen abgeschöpft werden, Beispiele hierfür sind das Einschleusen von Schadsoftware, Phishing Mails, betrügerische Telefonanrufe, Diebstahl von unternehmensinternen Dokumenten etc.
Ja Nein
Teil H: Selbsteinschätzung Kompetenzen
H1. Welche Fähigkeiten und Kompetenzen sollte eine Person mindestens besitzen, um im Bereich Informationssicherheit in einem KMU tätig zu sein?
Bitte beachten Sie hierbei, dass zu den Tätigkeiten lediglich die Sicherstellung grundlegender Schutzmaßnahmen gehören, etwa zur Erfüllung von Mindestansprüchen für eine Versicherungsleistung. Im Kontext einer
Implementierung von Informationssicherheitsmanagementsystemen oder der Vorbereitung eines Unternehmens auf eine etwaige Zertifizierung soll lediglich eine unterstützende Rolle von dieser Person eingenommen werden (z.B. als Ansprechperson für externe Informationssicherheitsbauftragte oder -auditoren).
Hinweis: Um Informationen über den Bedeutungsgehalt jeder Antwortmöglichkeit zu erhalten, lassen Sie den Curser über einer Antwortmöglichkeit (z.B. "Process Management") ruhen, damit ein Tooltip erscheint.
0 - Keine Erfahrung
1 - Allgemeine
s Wissen
2 - Allgemeines Wissen plus
praktische Erfahrung
3 - Fortgeschritten es theoretisches Wissen
4 - Fortgeschrittenes theoretisches
Wissen plus praktische Erfahrung
keine Einschätzu ng möglich
Prozessmanagement
0 - Keine Erfahrung
1 - Allgemeine
s Wissen
2 - Allgemeines Wissen plus
praktische Erfahrung
3 - Fortgeschritten es theoretisches Wissen
4 - Fortgeschrittenes theoretisches
Wissen plus praktische Erfahrung
keine Einschätzu ng möglich
IKT-Risikomanagement Compliance Management IKT-Beschaffung Sensibilisierung und Influencing Weiterbildung und Schulung Sicherheitstestings Verschlüsselung Datenmanagement Rollenbasierte Zugangskontrolle Passwortverwaltung Business Continuity Management Vermittlung and Stakeholder Management
Teil I: Work Performance
I1. Bitte geben Sie eine Einschätzung zu Ihrer eigenen Wahrnehmung ab.
0 – nie 1 2 3 4 – oft
Ich habe es geschafft, meine Arbeit so zu planen, dass ich sie pünktlich fertiggestellt habe.
0 – nie 1 2 3 4 – oft
Ich habe das gewünschte Arbeitsergebnis im Auge behalten.
Ich konnte Prioritäten setzen.
Ich konnte meine Arbeit effizient ausführen.
Ich habe meine Zeit gut verwaltet.
Ich habe aus eigener Initiative neue Aufgaben begonnen, wenn meine alten Aufgaben abgeschlossen waren.
Ich habe anspruchsvolle Aufgaben in der Informationssicherheit übernommen, wenn sie verfügbar waren.
Ich habe daran gearbeitet, mein Wissen über Informationssicherheit auf dem neuesten Stand zu halten.
Ich habe daran gearbeitet, meine Kenntnisse im Bereich Informationssicherheit auf dem neuesten Stand zu halten.
Ich habe kreative Lösungen für neue Probleme aus dem Bereich der Informationssicherheit in meiner Firma gefunden.
Teil J:
J1.
0 - nie 1 2 3 4 - oft
Ich habe zusätzliche Verantwortung im Bereich der Informationssicherheit übernommen.
Ich habe ständig neue Herausforderungen bei meiner Arbeit gesucht.
Ich nahm aktiv an Treffen und/ oder Beratungen im Bereich der Informationssicherheit teil.
Ich habe mich über kleinere arbeitsbezogene Probleme am Arbeitsplatz beschwert.
0 - nie 1 2 3 4 - oft
Ich habe Probleme bei der Arbeit stärker thematisiert, als sie es Wert waren.
Ich konzentrierte mich auf die negativen Aspekte meiner Arbeit.
Ich habe mit Kollegen über die negativen Aspekte meiner Arbeit gesprochen.
Ich habe mit Leuten außerhalb der Organisation über die negativen Aspekte meiner Arbeit gesprochen.
Teil K: Persönlichkeitszüge
K1. Inwieweit treffen die folgenden Aussagen auf Sie zu?
Stimme überhaupt
nicht zu
Stimme eher nicht
zu
Stimme weder zu noch lehne
ich ab
Stimme eher zu
Stimme voll zu
Ich bin eher zurückhaltend.
Ich schenke anderen leicht Vertrauen, glaube an das Gute im Menschen.
Ich bin bequem und neige zur Faulheit.
Ich bin entspannt, lasse mich durch Stress nicht aus der Ruhe bringen.
Ich habe nur wenig künstlerisches Interesse.
Ich gehe aus mir heraus und bin gesellig.
Ich neige dazu, andere zu kritisieren.
Ich erledige Aufgaben gründlich.
Ich werde leicht nervös und unsicher.
Stimme überhaupt
nicht zu
Stimme eher nicht
zu
Stimme weder zu noch lehne
ich ab
Stimme eher zu
Stimme voll zu
Ich habe eine aktive Vorstellungskraft und bin fantasievoll.
Teil L: LU 01 Process Management
L1. Bitte bewerten Sie sich selbst: Welche der folgenden Tätigkeiten aus dem Bereich Prozessmanagement können Sie durchführen?
0 - Laie: Das kann ich nicht.
1 - Anfänger: Ich kann einfache Aufgaben bearbeiten, ggf. auch mit Hilfe einer Anleitung.
2 - Fortgeschritten: Ich kann klar definierte Aufgaben bearbeiten und Probleme eigenständig lösen.
3 - Profi: Ich kann Aufgaben auch in komplexen Kontexten bearbeiten und Probleme eigenständig lösen.
4 - Experte: Ich kann komplexe Probleme lösen und neue Ideen und Prozesse eigenständig erarbeiten. Ich kann Mitarbeiter anleiten und befähigen, Aufgaben unter meiner Aufsicht auszuführen.
0 - Laie Anfänger1 -
2 - Fortgesc hrittener
3 - Profi 4 - Experte
Identifizierung kritischer Arbeitsabläufe für die Informationssicherheit im Unternehmen anhand von Beispielen.
Beurteilung von Arbeitsabläufen im Unternehmen auf ihre Konformität mit Informationssicherheitsrichtlinien des Unternehmens.
Beurteilung von Arbeitsabläufen im Unternehmen auf Ihre Konformität mit der Datenschutzgrundverordnung (DSGVO).
Prozesse strategisch (systematisch, fortlaufend) dokumentieren.
Anwendung geeigneter Kommunikationstechniken und -kanäle, um sich mit Kollegen über Ihre Arbeitsabläufe auszutauschen.
Teil M: LU 02 Risk Management
M1. Bitte bewerten Sie sich selbst: Welche der folgenden Tätigkeiten aus dem Bereich Risikomanagement können Sie durchführen?
0 - Laie: Das kann ich nicht.
1 - Anfänger: Ich kann einfache Aufgaben bearbeiten, ggf. auch mit Hilfe einer Anleitung.
2 - Fortgeschritten: Ich kann klar definierte Aufgaben bearbeiten und Probleme eigenständig lösen.
3 - Profi: Ich kann Aufgaben auch in komplexen Kontexten bearbeiten und Probleme eigenständig lösen.
4 - Experte: Ich kann komplexe Probleme lösen und neue Ideen und Prozesse eigenständig erarbeiten. Ich kann Mitarbeiter anleiten und befähigen, Aufgaben unter meiner Aufsicht auszuführen.
0 - Laie Anfänger1 -
2 - Fortgesc hrittener
3 - Profi 4 - Experte
Bestimmung der Gefährdung der Firma durch bestimmte Bedrohungsfaktoren.
Überwachung technologischer Entwicklungen und das Auftreten neuer Gefährdungen.
Zusammenarbeit mit Mitarbeitern, um Schwachstellen zu identifizieren.
Ableitung von Handlungsempfehlungen auf Basis der gefundenen Schwachstellen im Unternehmen.
Bestimmung des Umfangs und des Zwecks der personenbezogenen Daten, die innerhalb der Firma verarbeitet werden.
Teil N: LU 03 Compliance Management
N1. Bitte bewerten Sie sich selbst: Welche der folgenden Tätigkeiten aus dem Bereich Compliance können Sie durchführen?
0 - Laie: Das kann ich nicht.
1 - Anfänger: Ich kann einfache Aufgaben bearbeiten, ggf. auch mit Hilfe einer Anleitung.
2 - Fortgeschritten: Ich kann klar definierte Aufgaben bearbeiten und Probleme eigenständig lösen.
3 - Profi: Ich kann Aufgaben auch in komplexen Kontexten bearbeiten und Probleme eigenständig lösen.
4 - Experte: Ich kann komplexe Probleme lösen und neue Ideen und Prozesse eigenständig erarbeiten. Ich kann Mitarbeiter anleiten und befähigen, Aufgaben unter meiner Aufsicht auszuführen.
0 - Laie Anfänger1 -
2 - Fortgesc hrittener
3 - Profi 4 - Experte
Analyse und Abbildung der Prozesse im Zusammenhang mit dem Informationsfluss in der Organisation.
Anwendung analytischer und kritischer Denkfähigkeiten, um die Stärken und Schwächen potenzieller Lösungen für Probleme im Zusammenhang mit dem Compliance-Management zu identifizieren.
Identifizierung kritischer Daten und Informationseinheiten, die in den internen Prozessen der Organisation besonderen Schutz oder Behandlung benötigen.
Identifizierung potenzieller Risiken und Bedrohungen für die Informationssicherheit und den Datenschutz in den internen Prozessen der Organisation.
Teil O: LU 04 ICT Procurement
O1. Bitte bewerten Sie sich selbst: Welche der folgenden Tätigkeiten aus dem Bereich IKT Beschaffung können Sie durchführen?
0 - Laie: Das kann ich nicht.
1 - Anfänger: Ich kann einfache Aufgaben bearbeiten, ggf. auch mit Hilfe einer Anleitung.
2 - Fortgeschritten: Ich kann klar definierte Aufgaben bearbeiten und Probleme eigenständig lösen.
3 - Profi: Ich kann Aufgaben auch in komplexen Kontexten bearbeiten und Probleme eigenständig lösen.
4 - Experte: Ich kann komplexe Probleme lösen und neue Ideen und Prozesse eigenständig erarbeiten. Ich kann Mitarbeiter anleiten und befähigen, Aufgaben unter meiner Aufsicht auszuführen.
0 - Laie Anfänger1 -
2 - Fortgesc hrittener
3 - Profi 4 - Experte
Sammeln von Informationen und Abgabe einer Bewertung über Technologie, die angeschafft werden muss.
Umsetzung der Sicherheitsstrategie der Firma, wenn neue Technologie angeschafft wird.
Kommunikation der Bedeutung von sicherheitsrelevanten Merkmalen, wenn neue Technik angeschafft werden soll.
Analyse der auf dem Markt verfügbaren Lösungen und Verständnis über ihre Anfälligkeit für Sicherheitsbedrohungen.
Teil P: LU 05 Sensitisation and Influencing
P1. Bitte bewerten Sie sich selbst: Welche der folgenden Tätigkeiten aus dem Bereich Sensibilisierung können Sie durchführen?
0 - Laie: Das kann ich nicht.
1 - Anfänger: Ich kann einfache Aufgaben bearbeiten, ggf. auch mit Hilfe einer Anleitung.
2 - Fortgeschritten: Ich kann klar definierte Aufgaben bearbeiten und Probleme eigenständig lösen.
3 - Profi: Ich kann Aufgaben auch in komplexen Kontexten bearbeiten und Probleme eigenständig lösen.
4 - Experte: Ich kann komplexe Probleme lösen und neue Ideen und Prozesse eigenständig erarbeiten. Ich kann Mitarbeiter anleiten und befähigen, Aufgaben unter meiner Aufsicht auszuführen.
0 - Laie Anfänger1 -
2 - Fortgesc hrittener
3 - Profi 4 - Experte
Die Bedeutung von Datenschutz und Informationssicherheit in einem kleinen oder mittelständischen Unternehmen kennen.
Die wahrscheinlichsten Bedrohungen für Ihre tägliche Arbeit und die Arbeit Ihrer Kollegen kennen.
Die Rolle des Risikobewusstseins Ihrer Mitarbeiter kennen.
Wissen darüber, wie man eine Awareness-Analyse bei den Mitarbeitern durchführt.
Wissen darüber, wie das Sicherheitsbewusstsein der Mitarbeiter erhöht werden kann.
Teil Q: LU 06 Education and Training
Q1. Bitte bewerten Sie sich selbst: Welche der folgenden Tätigkeiten aus dem Bereich Aus- und Weiterbildung können Sie durchführen?
0 - Laie: Das kann ich nicht.
1 - Anfänger: Ich kann einfache Aufgaben bearbeiten, ggf. auch mit Hilfe einer Anleitung.
2 - Fortgeschritten: Ich kann klar definierte Aufgaben bearbeiten und Probleme eigenständig lösen.
3 - Profi: Ich kann Aufgaben auch in komplexen Kontexten bearbeiten und Probleme eigenständig lösen.
4 - Experte: Ich kann komplexe Probleme lösen und neue Ideen und Prozesse eigenständig erarbeiten.
0 - Laie 1 2 3
4 - Experte
Relevante Informationen zur Informationssicherheit recherchieren.
Relevante Informationen zum Datenschutz recherchieren.
Identifikation von Schwierigkeiten bei der täglichen Arbeit bezüglich Informationssicherheit und Datenschutz in meinem Unternehmen.
Identifikation von Maßnahmen für den Schulungsbedarf.
Überzeugung der Mitarbeiter, dass Informations- und Datensicherheit wichtig sind.
Planung weiterer Schulungen für unser Unternehmen.
Durchführung von Schulungen zur Informationssicherheit und zum Datenschutz in unserem Unternehmen.
Teil R: LU 07 Security Testing
R1. Bitte bewerten Sie sich selbst: Welche der folgenden Tätigkeiten aus dem Bereich Sicherheitstesting können Sie durchführen?
0 - Laie: Das kann ich nicht.
1 - Anfänger: Ich kann einfache Aufgaben bearbeiten, ggf. auch mit Hilfe einer Anleitung.
2 - Fortgeschritten: Ich kann klar definierte Aufgaben bearbeiten und Probleme eigenständig lösen.
3 - Profi: Ich kann Aufgaben auch in komplexen Kontexten bearbeiten und Probleme eigenständig lösen.
4 - Experte: Ich kann komplexe Probleme lösen und neue Ideen und Prozesse eigenständig erarbeiten. Ich kann Mitarbeiter anleiten und befähigen, Aufgaben unter meiner Aufsicht auszuführen.
0 - Laie Anfänger1 -
2 - Fortgesc hrittener
3 - Profi 4 - Experte
Installation von Antiviren-Software und Firewalls.
Anwendung einfacher Methoden, um die Sicherheit von Software zu testen.
Anwendung einfacher Methoden, um die Sicherheit von Computersystemen oder Netzwerken zu testen.
Anwendung einfacher Methoden, um die Sicherheit von Kommunikationskanälen zu testen.
Dokumentation strategisch durchgeführter Änderungen und Aktualisierungen.
Teil S: LU 08 Encoding
S1. Bitte bewerten Sie sich selbst: Welche der folgenden Tätigkeiten aus dem Verschlüsselung können Sie durchführen?
0 - Laie: Das kann ich nicht.
1 - Anfänger: Ich kann einfache Aufgaben bearbeiten, ggf. auch mit Hilfe einer Anleitung.
2 - Fortgeschritten: Ich kann klar definierte Aufgaben bearbeiten und Probleme eigenständig lösen.
3 - Profi: Ich kann Aufgaben auch in komplexen Kontexten bearbeiten und Probleme eigenständig lösen.
4 - Experte: Ich kann komplexe Probleme lösen und neue Ideen und Prozesse eigenständig erarbeiten. Ich kann Mitarbeiter anleiten und befähigen, Aufgaben unter meiner Aufsicht auszuführen.
0 - Laie Anfänger1 -
2 - Fortgesc hrittener
3 - Profi 4 - Experte
Einsetzen von Software, um Datenspeichereinheiten zu verschlüsseln.
Anwendung von Methoden zur Verschlüsselung von E-Mail- und Messenger-Kommunikation.
Absicherung des Zugriffs auf bestimmte Ressourcen mittels Zwei-Faktor-Authentifizierung.
Erkennen der im Unternehmen verwendeten Ressourcen, Informationen und Technologien, die verschlüsselt werden sollen.
Teil T: LU 09 Data Management
T1. Bitte bewerten Sie sich selbst: Welche der folgenden Tätigkeiten aus dem Bereich Datenmanagement können Sie durchführen?
0 - Laie: Das kann ich nicht.
1 - Anfänger: Ich kann einfache Aufgaben bearbeiten, ggf. auch mit Hilfe einer Anleitung.
2 - Fortgeschritten: Ich kann klar definierte Aufgaben bearbeiten und Probleme eigenständig lösen.
3 - Profi: Ich kann Aufgaben auch in komplexen Kontexten bearbeiten und Probleme eigenständig lösen.
4 - Experte: Ich kann komplexe Probleme lösen und neue Ideen und Prozesse eigenständig erarbeiten. Ich kann Mitarbeiter anleiten und befähigen, Aufgaben unter meiner Aufsicht auszuführen.
0 - Laie Anfänger1 -
2 - Fortgesc hrittener
3 - Profi 4 - Experte
Kenntnis darüber, welche Art von Daten im Unternehmen verarbeitet werden und welche Speichertechniken den jeweiligen Vorschriften entsprechen.
Umfang und Zweck der personenbezogenen Daten bestimmen, die innerhalb der Organisation gespeichert/verarbeitet werden.
Erstellen regelmäßiger Backups, um das Risiko des Verlusts wertvoller Daten und Informationen zu verringern.
Mit Kollegen zusammenarbeiten, um Datenmanagementprozesse zu analysieren und notwendige Änderungen einzuführen.
Planung und Verwaltung von Ressourcen und Überwachung des Datenverwaltungsprozesses.
Teil U: LU 10 Role Based Access Control
U1. Bitte bewerten Sie sich selbst: Welche der folgenden Tätigkeiten aus dem Bereich Rollenbasierte Zugangskontrolle können Sie durchführen?
0 - Laie: Das kann ich nicht.
1 - Anfänger: Ich kann einfache Aufgaben bearbeiten, ggf. auch mit Hilfe einer Anleitung.
2 - Fortgeschritten: Ich kann klar definierte Aufgaben bearbeiten und Probleme eigenständig lösen.
3 - Profi: Ich kann Aufgaben auch in komplexen Kontexten bearbeiten und Probleme eigenständig lösen.
4 - Experte: Ich kann komplexe Probleme lösen und neue Ideen und Prozesse eigenständig erarbeiten. Ich kann Mitarbeiter anleiten und befähigen, Aufgaben unter meiner Aufsicht auszuführen.
0 - Laie Anfänger1 -
2 - Fortgesc hrittener
3 - Profi 4 - Experte
Klare Definition über die Rollen der Mitarbeiter in unserem Unternehmen, entsprechend den Vorgaben der Geschäftsleitung.
Überzeugung des Managements und der Mitarbeiter unseres Unternehmens von der Relevanz eines rollenbasierten Zugriffs auf bestimmte Ressourcen.
Festlegen individueller Benutzerrechte und Anmeldedaten.
Nachvollziehbar, wann bestimmte Benutzer auf bestimmte Ressourcen (Datenbanken, Computer, Lagerräume etc.) zugegriffen haben.
Erkennbar, welche Ressourcen in der Firma einem kontrollierbarem und nachvollziehbarem Zugriff unterliegen müssen (Datenbanken, Programme, Lagerräume etc.).
Teil V: LU 11 Password Management
V1. Bitte bewerten Sie sich selbst: Welche der folgenden Tätigkeiten aus dem Bereich Passwortmanagement können Sie durchführen?
0 - Laie: Das kann ich nicht.
1 - Anfänger: Ich kann einfache Aufgaben bearbeiten, ggf. auch mit Hilfe einer Anleitung.
2 - Fortgeschritten: Ich kann klar definierte Aufgaben bearbeiten und Probleme eigenständig lösen.
3 - Profi: Ich kann Aufgaben auch in komplexen Kontexten bearbeiten und Probleme eigenständig lösen.
4 - Experte: Ich kann komplexe Probleme lösen und neue Ideen und Prozesse eigenständig erarbeiten. Ich kann Mitarbeiter anleiten und befähigen, Aufgaben unter meiner Aufsicht auszuführen.
0 - Laie Anfänger1 -
2 - Fortgesc hrittener
3 - Profi 4 - Experte
Einschränken des Zugriffs auf bestimmte Informationen durch individuell vergebene Passwörter.
Einrichten eines Passwort-Management-Systems und Wiederherstellung oder Änderung von Passwörtern bei Bedarf.
Festlegung von Regeln für die Erstellung von Passwörtern.
Tools für Mitarbeiter zur Verfügung stellen, mit denen sie ihre Passwörter auf Geschäftsgeräten sicher verwalten können.
Austausch mit Mitarbeitern und Unterstützung, wenn sie Hilfe beim wiederherstellen ihres Passworts benötigen.
Teil W: LU 12 Business Continuity Management
W1. Bitte bewerten Sie sich selbst: Welche der folgenden Tätigkeiten aus dem Bereich Business Continuity Management können Sie durchführen?
0 - Laie: Das kann ich nicht.
1 - Anfänger: Ich kann einfache Aufgaben bearbeiten, ggf. auch mit Hilfe einer Anleitung.
2 - Fortgeschritten: Ich kann klar definierte Aufgaben bearbeiten und Probleme eigenständig lösen.
3 - Profi: Ich kann Aufgaben auch in komplexen Kontexten bearbeiten und Probleme eigenständig lösen.
4 - Experte: Ich kann komplexe Probleme lösen und neue Ideen und Prozesse eigenständig erarbeiten. Ich kann Mitarbeiter anleiten und befähigen, Aufgaben unter meiner Aufsicht auszuführen.
0 - Laie Anfänger1 -
2 - Fortgesc hrittener
3 - Profi 4 - Experte
Anwenden von Techniken oder Methodiken, um Notfallszenarien zu entwickeln.
Identifikation theoretischer Notfallsituationen in meinem Unternehmen.
Vorbereiten von Richtlinien für Notfallsituationen.
Benennen konkreter Maßnahmen, die in Notfallsituationen ergriffen werden müssen.
Teil X: LU 13 Mediation and Stakeholder Management
X1. Bitte bewerten Sie sich selbst: Welche der folgenden Tätigkeiten aus dem Bereich Stakeholdermanagement können Sie durchführen?
0 - Laie: Das kann ich nicht.
1 - Anfänger: Ich kann einfache Aufgaben bearbeiten, ggf. auch mit Hilfe einer Anleitung.
2 - Fortgeschritten: Ich kann klar definierte Aufgaben bearbeiten und Probleme eigenständig lösen.
3 - Profi: Ich kann Aufgaben auch in komplexen Kontexten bearbeiten und Probleme eigenständig lösen.
4 - Experte: Ich kann komplexe Probleme lösen und neue Ideen und Prozesse eigenständig erarbeiten. Ich kann Mitarbeiter anleiten und befähigen, Aufgaben unter meiner Aufsicht auszuführen.
0 - Laie Anfänger1 -
2 - Fortgesc hrittener
3 - Profi 4 - Experte
Berücksichtigung und Koordination der Interessen der Stakeholder im Unternehmen (Mitarbeiter und Management).
Effektive Kommunikation mit verschiedenen Hierarchieebenen im Unternehmen, um die Präsenz von Informationssicherheitsthemen in der betrieblichen Planung des Unternehmens sicherzustellen.
Steuerung der Bedürfnisse und Interessen von Stakeholdern aus verschiedenen Abteilungen und Hierarchieebenen im Unternehmen.
Bewusste Auswahl der Kommunikationstechniken und die Art der Botschaften, wenn bestimmte Themen der Informationssicherheit bei bestimmte Empfänger (Mitarbeiter, Management) angesprochen werden sollen..
Umgang mit Widerständen innerhalb des Unternehmens, wenn neue Prozesse etabliert werden sollen.
Teil Y: Allgemeine Angaben
Y1. Wie alt sind Sie?
18-24 Jahre 25-39 Jahre 40-59 Jahre 60-64 Jahre
> 65 Jahre
Y2. Geschlecht:
männlich weiblich divers Ich kann / möchte mich nicht zuordnen
Y3. Berufserfahrung in Jahren:
Vielen Dank für Ihre Teilnahme! Wenn Sie Fragen zur Umfrage oder zum Projekt "TeBeISi" haben, können Sie sich gerne an uns wenden: Simon.Rath@bfm-bayreuth.de
Möchten Sie über die Projektergebnisse auf dem Laufenden bleiben? Besuchen Sie uns auf unserer Website:
https://information-security-in-sme.eu/
Sie können dieses Fenster nun schließen, um die Umfrage zu verlassen.
Powered by TCPDF (www.tcpdf.org)
